Bug-Bounty-Programm
Was ist Bug-Bounty-Programm?
Bug-Bounty-ProgrammFormale Initiative, mit der eine Organisation externe Forschende einlaedt, Schwachstellen zu melden, und Praemien je nach Auswirkung zahlt.
Ein Bug-Bounty-Programm gestaltet crowd-basiertes Security-Testing als kontrollierten Prozess. Die Organisation veroeffentlicht Scope, Regeln, Ausschluesse und Praemienstufen und nimmt Meldungen unabhaengiger Forschender entweder ueber eine eigene Plattform oder einen Triage-Anbieter wie HackerOne, Bugcrowd oder Intigriti entgegen. Befunde werden validiert, reproduziert, priorisiert und behoben, die Auszahlung richtet sich nach der Schweregradeinstufung (haeufig CVSS). Programme koennen oeffentlich oder privat (nur fuer Eingeladene) sein und ergaenzen internes AppSec, SAST/DAST sowie Penetrationstests, ersetzen sie aber nicht. Eine Safe-Harbour-Klausel ist essenziell, damit gutglaeubige Forschende nicht nach Anti-Hacking-Gesetzen verfolgt werden.
● Beispiele
- 01
Google Vulnerability Reward Program, Microsoft Bug Bounty, Apple Security Bounty.
- 02
Ein SaaS-Anbieter betreibt ein privates Programm auf HackerOne mit Praemien von 500 bis 50.000 US-Dollar.
● Häufige Fragen
Was ist Bug-Bounty-Programm?
Formale Initiative, mit der eine Organisation externe Forschende einlaedt, Schwachstellen zu melden, und Praemien je nach Auswirkung zahlt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Bug-Bounty-Programm?
Formale Initiative, mit der eine Organisation externe Forschende einlaedt, Schwachstellen zu melden, und Praemien je nach Auswirkung zahlt.
Wie funktioniert Bug-Bounty-Programm?
Ein Bug-Bounty-Programm gestaltet crowd-basiertes Security-Testing als kontrollierten Prozess. Die Organisation veroeffentlicht Scope, Regeln, Ausschluesse und Praemienstufen und nimmt Meldungen unabhaengiger Forschender entweder ueber eine eigene Plattform oder einen Triage-Anbieter wie HackerOne, Bugcrowd oder Intigriti entgegen. Befunde werden validiert, reproduziert, priorisiert und behoben, die Auszahlung richtet sich nach der Schweregradeinstufung (haeufig CVSS). Programme koennen oeffentlich oder privat (nur fuer Eingeladene) sein und ergaenzen internes AppSec, SAST/DAST sowie Penetrationstests, ersetzen sie aber nicht. Eine Safe-Harbour-Klausel ist essenziell, damit gutglaeubige Forschende nicht nach Anti-Hacking-Gesetzen verfolgt werden.
Wie schützt man sich gegen Bug-Bounty-Programm?
Schutzmaßnahmen gegen Bug-Bounty-Programm kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Bug-Bounty-Programm?
Übliche alternative Bezeichnungen: VRP, Schwachstellen-Praemienprogramm.
● Verwandte Begriffe
- attacks№ 221
Koordinierte Schwachstellenoffenlegung (CVD)
Prozess, in dem Entdecker, betroffener Hersteller und teils ein Koordinator einen Zeitplan abstimmen, bevor eine Schwachstelle oeffentlich gemacht wird.
- roles№ 132
Bug-Bounty-Jäger
Unabhängiger Sicherheitsforscher, der Schwachstellen über Bug-Bounty- oder Coordinated-Disclosure-Programme an Hersteller meldet — gegen Geldprämien und öffentliche Anerkennung.
- defense-ops№ 813
Penetrationstest
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
- vulnerabilities№ 1216
Schwachstelle
Eine Schwäche in einem System, einer Anwendung oder einem Prozess, die ein Angreifer ausnutzen kann, um Vertraulichkeit, Integrität oder Verfügbarkeit zu beeinträchtigen.
- vulnerabilities№ 261
CVSS (Common Vulnerability Scoring System)
Offenes, von FIRST gepflegtes Framework, das auf Basis von Ausnutzungs- und Auswirkungseigenschaften eine Schweregradzahl von 0–10 für Schwachstellen erzeugt.
- defense-ops№ 1217
Schwachstellenbewertung
Systematische Überprüfung einer Umgebung zur Identifikation, Klassifizierung und Priorisierung von Sicherheitsschwächen, in der Regel ohne aktive Ausnutzung.
● Siehe auch
- № 1234White-Hat-Hacker
- № 451Grey-Hat-Hacker
- № 390Ethical Hacker